Configuración de detecciones inteligentes en la administración de riesgos internos
Importante
Administración de riesgos internos de Microsoft Purview correlaciona varias señales para identificar posibles riesgos internos malintencionados o involuntarios, como el robo de IP, la pérdida de datos y las infracciones de seguridad. La administración de riesgos internos permite a los clientes crear directivas para administrar la seguridad y el cumplimiento. Creados con privacidad por diseño, los usuarios están seudonimizados de forma predeterminada y se aplican controles de acceso basados en roles y registros de auditoría para ayudar a garantizar la privacidad de nivel de usuario.
Nota:
La configuración de exclusiones globales que anteriormente se incluía en la configuración Detecciones inteligentes ahora se incluye en la configuración Exclusiones globales (versión preliminar).
Puede usar la configuración Detecciones inteligentes de Administración de riesgos internos de Microsoft Purview para:
- Aumente la puntuación de las actividades de descarga de archivos inusuales especificando un número mínimo de eventos diarios.
- Aumente o disminuya el volumen y la distribución de alertas altas, medianas y bajas.
- Importe y filtre alertas de Defender para punto de conexión para las actividades que se usan en las directivas creadas a partir de plantillas de administración de riesgos internos.
- Especifique dominios no permitidos para aumentar la puntuación de riesgo de la actividad potencialmente de riesgo.
- Especifique dominios de terceros para generar alertas para la actividad de descarga potencialmente riesgosa.
Sugerencia
Si no es cliente de E5, use la prueba de 90 días de soluciones de Microsoft Purview para explorar cómo las funcionalidades adicionales de Purview pueden ayudar a su organización a administrar las necesidades de cumplimiento y seguridad de los datos. Comience ahora en el centro de pruebas de Microsoft Purview. Obtenga más información sobre términos de suscripción y prueba.
Detección de actividad de archivos
Puede usar esta sección para especificar el número de eventos diarios necesarios para aumentar la puntuación de riesgo de la actividad de descarga que se considera inusual para un usuario. Por ejemplo, si escribe "25", si un usuario descarga 10 archivos de media durante los 30 días anteriores, pero una directiva detecta que descargó 20 archivos un día, la puntuación de esa actividad no se potenciará aunque sea inusual para ese usuario porque el número de archivos que descargó ese día era menor que 25.
Volumen de alertas
A las actividades potencialmente de riesgo detectadas por las directivas de riesgo internos se les asigna una puntuación de riesgo específica, que a su vez determina la gravedad de la alerta (baja, media, alta). De forma predeterminada, la administración de riesgos internos genera una cierta cantidad de alertas de gravedad baja, media y alta, pero puede aumentar o reducir el volumen de un nivel específico de alertas para satisfacer sus necesidades.
Para ajustar el volumen de alertas para todas las directivas de administración de riesgos internos, elija una de las siguientes opciones:
- Menos alertas: verá todas las alertas de gravedad alta, menos alertas de gravedad media y ninguna alerta de gravedad baja. Podría perder algunos verdaderos positivos si elige este nivel de configuración.
- Volumen predeterminado: verá todas las alertas de gravedad alta y una cantidad equilibrada de alertas de gravedad media y baja.
- Más alertas: verá todas las alertas de gravedad media y alta y la mayoría de las alertas de gravedad baja. Este nivel de configuración podría dar lugar a más falsos positivos.
estados de alerta de Microsoft Defender para punto de conexión
Importante
Para importar alertas de infracción de seguridad, debe configurar Microsoft Defender para punto de conexión en su organización y habilitar Defender para punto de conexión para la integración de administración de riesgos internos en el Centro de seguridad de Defender. Para obtener más información sobre cómo configurar Defender para punto de conexión para la integración de la administración de riesgos internos, vea Configurar las características avanzadas de Defender para punto de conexión.
Microsoft Defender para punto de conexión es una plataforma de seguridad de punto de conexión empresarial diseñada para ayudar a las redes empresariales a prevenir, detectar, investigar y responder a amenazas avanzadas. Para tener una mejor visibilidad de las infracciones de seguridad en su organización, puede importar y filtrar alertas de Defender para punto de conexión para las actividades que se usan en las directivas creadas a partir de plantillas de directivas de infracción de seguridad de administración de riesgos internos.
En función de los tipos de señales que le interesen, puede optar por importar alertas a la administración de riesgos internos en función del estado de evaluación de prioridades de alertas de Defender para punto de conexión. Puede definir uno o varios de los siguientes estados de evaluación de prioridad de alertas en la configuración global que se va a importar:
- Unknown
- Nuevo
- En curso
- Resuelto
Las alertas de Defender para punto de conexión se importan diariamente. En función del estado de evaluación de prioridades que elija, es posible que vea varias actividades de usuario para la misma alerta que cambia el estado de evaluación de prioridades en Defender para punto de conexión.
Por ejemplo, si selecciona Nuevo, En curso y Resuelto para esta configuración, cuando se genera una alerta de Microsoft Defender para punto de conexión y el estado es Nuevo, se importa una actividad de alerta inicial para el usuario en la administración de riesgos internos. Cuando el estado de evaluación de prioridades de Defender para punto de conexión cambia a En curso, se importa una segunda actividad para esta alerta. Cuando se establece el estado final de evaluación de prioridades de Defender para punto de conexión de Resuelto , se importa una tercera actividad para esta alerta. Esta funcionalidad permite a los investigadores seguir la progresión de las alertas de Defender para punto de conexión y elegir el nivel de visibilidad que requiere su investigación.
Dominios
Puede especificar dominios no permitidos y de terceros para aumentar las detecciones:
- Dominios no permitidos: Cuando se especifica un dominio no permitido, la actividad de administración de riesgos que tiene lugar con ese dominio tendrá una puntuación de riesgo mayor. Por ejemplo, es posible que desee especificar actividades que impliquen compartir contenido con alguien (como enviar correo electrónico a alguien con una dirección de gmail.com) o actividades que impliquen que los usuarios descarguen contenido en un dispositivo desde un dominio no permitido. Puede agregar hasta 500 dominios no permitidos.
- Dominios de terceros: Si su organización usa dominios de terceros con fines empresariales (como el almacenamiento en la nube), insclútelos en la sección Dominios de terceros para recibir alertas de actividad potencialmente de riesgo relacionada con el indicador de dispositivo Use un explorador para descargar contenido de un sitio de terceros. Puede agregar hasta 500 dominios de terceros.
Sugerencia
También puede especificar dominios que se excluirán de la puntuación de las directivas de administración de riesgos internos.
Adición de un dominio no permitido
Seleccione la pestaña adecuada para el portal que está usando. En función de su plan de Microsoft 365, el portal de cumplimiento Microsoft Purview se retirará o se retirará pronto.
Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
Inicie sesión en Microsoft Purview portal con las credenciales de una cuenta de administrador de su organización Microsoft 365.
Seleccione Configuración en la esquina superior derecha de la página y, a continuación, seleccione Administración de riesgos internos para ir a la configuración de administración de riesgos internos.
En Configuración de riesgos internos, seleccione Detecciones inteligentes.
Desplácese hacia abajo hasta la sección Dominios no permitidos y, a continuación, seleccione Agregar dominios.
Escriba un dominio.
Sugerencia
Si no desea escribir dominios de uno en uno, puede importarlos como un archivo CSV seleccionando Importar dominios desde un archivo CSV en la página anterior.
Si desea incluir todos los subdominios dentro del dominio especificado, active la casilla Incluir subdominios de varios niveles .
[! NOTA Puede usar caracteres comodín para ayudar a hacer coincidir las variaciones de dominios raíz o subdominios. Por ejemplo, para especificar sales.wingtiptoys.com y support.wingtiptoys.com, use la entrada comodín "*.wingtiptoys.com" para hacer coincidir estos subdominios (y cualquier otro subdominio en el mismo nivel). Para especificar subdominios de varios niveles para un dominio raíz, debe seleccionar la casilla Incluir subdominios de varios niveles .
Presione Entrar. Repita este proceso para cada dominio que quiera agregar.
Seleccione Agregar dominios.
Adición de un dominio de terceros
Seleccione la pestaña adecuada para el portal que está usando. En función de su plan de Microsoft 365, el portal de cumplimiento Microsoft Purview se retirará o se retirará pronto.
Para obtener más información sobre Microsoft Purview portal, consulte Microsoft Purview portal. Para obtener más información sobre el portal de cumplimiento, consulte portal de cumplimiento Microsoft Purview.
Inicie sesión en Microsoft Purview portal con las credenciales de una cuenta de administrador de su organización Microsoft 365.
Seleccione Configuración en la esquina superior derecha de la página y, a continuación, seleccione Administración de riesgos internos para ir a la configuración de administración de riesgos internos.
En Configuración de riesgos internos, seleccione Detecciones inteligentes.
Desplácese hacia abajo hasta la sección Dominios de terceros y, a continuación, seleccione Agregar dominios.
Escriba un dominio.
Sugerencia
Si no desea escribir dominios de uno en uno, puede importarlos como un archivo CSV seleccionando Importar dominios desde un archivo CSV en la página anterior.
Si desea incluir todos los subdominios dentro del dominio especificado, active la casilla Incluir subdominios de varios niveles .
[! NOTA Puede usar caracteres comodín para ayudar a hacer coincidir las variaciones de dominios raíz o subdominios. Por ejemplo, para especificar sales.wingtiptoys.com y support.wingtiptoys.com, use la entrada comodín "*.wingtiptoys.com" para hacer coincidir estos subdominios (y cualquier otro subdominio en el mismo nivel). Para especificar subdominios de varios niveles para un dominio raíz, debe seleccionar la casilla Incluir subdominios de varios niveles .
Presione Entrar. Repita este proceso para cada dominio que quiera agregar.
Seleccione Agregar dominios.